I april i fjor kunngjorde verdens største internettilbydere og flere teknologiselskaper, blant dem America Online, British Telecom, Comcast, EarthLink, Microsoft og Yahoo!, konsortiet Anti-Spam Technical Alliance (ASTA) der de skulle samarbeide for å finne effektiv teknologi og retningslinjer mot spam.
I går kunngjorde konsortiet det de har kommet fram til. De tekniske forslagene tar sikte på å gjøre det umulig å sende anonym eller forfalsket e-post. Samtidig foreslår ASTA retningslinjer for henholdsvis internettilbydere, legitime masseutsendere av e-post og vanlige brukere. Retningslinjene for legitime masseutsendere av e-post svarer til den amerikanske loven kjent som CAN-SPAM. Denne loven legaliserer mange former for spam som bryter med EUs lovverk mot spam. Dersom retningslinjene blir fulgt opp, kan de likevel bidra til å redusere den store mengden spam som bryter også med CAN-SPAM-loven men som sendes fra områder utenfor amerikanske myndigheters rekkevidde.
De teknologiske forslagene innebærer endringer i alle e-postservere og i DNS-infrastrukturen (tjenesten som oversetter domenenavn til serveres numeriske IP-adresser). ASTA peker på at dagens teknologi og infrastruktur ikke lar e-postmottakere sjekke at den oppgitte avsenderadressen stemmer med meldingens faktiske opphav, og at spammere gjør bruk av dette for å masseutsende e-post under falskt navn. Metoden – kjent som «domain spoofing» eller domenejuks – brukes også av virus- og ormspredere, og av svindlere som bruker e-post til å «fiske» («phishing») seg fram til følsomme personopplysninger.
ASTA foreslår at DNS-infrastrukturen endres slik at serverne automatisk sammenlikner IP-adressen som en melding sendes fra, med domenet som oppgis i headeren, slik at forfalsket e-post kan stanses automatisk.
Det andre teknologiforslaget fra ASTA går ut på at det på servernivå innføres et system for automatisk signering av e-post. Prinsippet er at alle e-postservere signerer utgående meldinger med sin private nøkkel, og at alle mottatte meldinger verifiseres mot servernes offentlige nøkler som fordeles gjennom DNS-infrastrukturen. Slik kan man sjekke både at avsenderen oppgir korrekt domene, og at meldingen ikke er blitt endret underveis.
ASTAs forslag til retningslinjer for tilbydere krever blant annet større innsats på kontrollsiden, særlig i forbindelse med registrering av e-postkontoer og for bedre overvåkning av trafikken slik at de for eksempel kan identifisere kunder hvis maskiner misbrukes av utenforstående til spam, ormspredning eller «fisking». Slik maskiner, også kalt «zombier» står ifølge Microsoft for 40 prosent av all spam sendt til brukere av selskapets webbaserte e-posttjeneste Hotmail.
Retningslinjene for det ASTA kaller «legitime masseutsendere av e-post» krever at man ikke skal bruke automatiske metoder for å samle e-postadresser, men holde seg til dem som brukerne har oppgitt frivillig. De krever videre at man ikke på noen måte prøver å skjule hvem som faktisk sender ut e-posten, at meldingen ikke inneholder noen form for villedende informasjon, og at man reagerer øyeblikkelig på krav om å bli strøket fra distribusjonslisten.
Vanlige brukere anbefales å bruke brannmur, antivirus og spamfilter.
Det fullstendige forslaget fra ASTA kan leses på spamsidene hos Yahoo! og Microsoft, i påvente av at organisasjonen får opp sitt eget nettsted.
Les også:
- [18.08.2004] Ekstra vern mot ormer og «fisking»
- [10.08.2004] Anti-spamstandard skyter fart
- [28.07.2004] Se opp for nettsvindlere
- [05.07.2004] Internasjonalt samarbeid mot spam
- [29.06.2004] Lover bedre teknologi mot spam
- [25.06.2004] Ukjent orm infiserer gjennom nettbesøk
- [24.06.2004] MSN hotmail oppgraderes kraftig
- [14.06.2004] Virus-infiserte PC-er sender fremmedhat
- [03.06.2004] IT-sikkerhet for tungt for vanlige brukerne
- [28.05.2004] Spammer må sone i flere år
- [27.05.2004] Yahoo! tester verktøy mot spionvare
- [26.05.2004] Mener politikere ikke kan stoppe spam
- [24.05.2004] Teknologistrid svekker kamp mot spam